El Reglamento General de Protección de Datos (RGPD), presentado por la Unión Europea, entró en vigor el 25 de mayo de 2018. Con la aprobación del RGPD, las organizaciones se verán muy fiscalizadas en cuanto al uso que dan a los datos de carácter personal de clientes actuales o potenciales y empleados. De incumplirse puede incurrirse en multas considerables, por lo que las organizaciones se ven obligadas a entender los datos que recaban y utilizarlos tan solo como lo haya autorizado el interesado.

Hace poco en Talend celebramos un webinar a petición, Medidas prácticas para cumplir el RGPD, centrado en un exhaustivo plan de 16 medidas para hacer efectivo un programa de gobernanza de datos compatible con la conformidad con el RGPD.

En este plan la medida 6 es «Definir unas normas de uso aceptables».

Descargar Cómo definir unas normas de uso aceptables a efectos del RGPD [RGPD, Medida 6] ahora
Ver ahora

La perspectiva del RGPD sobre el uso de los datos

El RGPD articula claramente los supuestos en los que pueden utilizarse datos de carácter personal. Se da un cambio evidente de normas existentes a la constitución de un marco más estricto para las organizaciones. En este artículo hablaremos de los dos pilares principales relevantes para el uso aceptable de los datos:

Licitud del tratamiento

El artículo 6 del RGPD habla de la licitud del tratamiento de datos de carácter personal. En el artículo se analizan situaciones concretas en las que se permite el tratamiento de datos personales, como por ejemplo cuando:

  • El interesado dio su consentimiento.
  • El tratamiento es necesario para la ejecución de un contrato u obligación legal.
  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona:

Para cumplirlo, el equipo de gobernanza de datos debe establecer controles con el fin de garantizar que cualquier nuevo proyecto que exija el uso de datos de carácter personal obtenga la autorización de los departamentos de asesoramiento y cumplimiento jurídicos durante la fase de diseño. También debería existir un listado preciso de estas situaciones específicas para la organización.

Por ejemplo, si un banco de inversión desea tratar datos personales en el cumplimiento de sus obligaciones de lucha contra el blanqueo de capital, debe estipularse si tiene o no la potestad de hacerlo. Estas situaciones deben formularse y autorizarse explícitamente.

Condiciones para el consentimiento

Según el artículo 7, cláusula 1, del RGPD, un responsable deberá ser capaz de demostrar que el interesado consintió al tratamiento de sus datos personales. La idea es que los datos tan solo deberían emplearse si el interesado ha dado su consentimiento y tan solo en la forma en la que lo haya previsto el interesado.

Por ejemplo, si el interesado dio su consentimiento a recibir campañas por correo electrónico, pero no llamadas telefónicas, ese consentimiento parcial debe quedar registrado y los datos tan solo pueden utilizarse para campañas por correo electrónico.

Siga leyendo sobre los requisitos de consentimiento impuestos por el RGPD en la medida 11

El RGPD recomienda que el equipo de gobernanza de datos colabore con informática, asesoramiento y cumplimiento jurídicos para establecer un repositorio de consentimiento corporativo. Este repositorio debe consistir en un inventario único de todos los consentimientos, incluidos los de campañas por correo electrónicos, cookies y contactos telefónicos.

Registro de actividades de tratamiento

Según el artículo 30, cada responsable llevará un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener todas y cada una de las actividades de tratamiento de datos personales junto con:

  • Los fines del tratamiento
  • La persona responsable
  • Una descripción de las categorías de interesados y de las categorías de datos personales
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales
  • Información sobre posibles transferencias de datos personales a un país no europeo
  • Su periodo de conservación
  • Una descripción de las medidas de seguridad aplicables para aquellos datos

Cómo utilizar Talend para definir un uso de los datos aceptable

Talend Master Data Manager (MDM), Talend Big Data y Talend Data Quality admiten la creación de un data lake para el RGPD en el que agrupar toda la información relativa a un interesado, como sus datos personales y consentimientos. En la era de los big data, en la que los consentimientos pueden registrarse en distintas fuentes, este data lake ayuda a recuperar datos de varias procedencias y conciliarlos.

En la figura 1 podemos observar cómo una tarea de Talend recupera datos de consentimiento explícito de un sistema de marketing de terceros y utiliza Talend MDM para publicar esa información de consentimiento en todas las aplicaciones que los necesitan. La tarea también hace uso de Talend Data Quality para conciliar datos entre el sistema externalizado y el catálogo del RGPD de gestión centralizada.

normas de uso

Figura 1: Una tarea de Talend combina calidad de datos, administración de datos e integración de big data en un entorno visual unificado para recabar, normalizar, conciliar, certificar, proteger y propagar datos de carácter personal.

Esta representación gráfica de una canalización de datos está totalmente automatizada y puede operarse en colaboración con equipos comerciales. Por ejemplo, los usuarios comerciales pueden participar de la definición de controles de datos mediante la preparación de los datos y/o en el proceso de certificación y procesamiento de los datos (p. ej., resolviendo duplicados) con ayuda de Talend Data Stewardship.

Talend Metadata Manager también puede servir de catálogo de normas de uso aceptables para elementos de datos personales. Por ejemplo, si un nuevo valor, como por ejemplo “halal” para el atributo “preferencias gastronómicas”, se incorpora al entorno de big data, pueden emplearse los flujos de trabajo de Talend para obtener autorización legal porque este campo podría llegar a utilizarse para determinar la filiación religiosa de un interesado, algo que queda explícitamente regido por el artículo 9 del RGPD.

Talend MDM conserva un registro de actualizaciones sobre datos maestros que abarca también el consentimiento explícito. En la figura 2, el registro muestra que se añadió el consentimiento al cliente “Pierre Flores” el 14 de junio, mientras que si consultamos con mayor detalle el registro obtendremos el linaje completo de los datos y demostraremos que la página web fue la aplicación que recabó su consentimiento expreso.

normas de uso aceptables

Figura 2: Talend MDM proporciona linaje a nivel de registro, con lo que facilita un registro de auditoría para consentimientos explícitos y cualquier otro dato relacionado con el interesado.

Próximas medidas para cumplir con el RGPD

En el fondo el RGPD lo que busca es definir unas normas de uso aceptables sobre cómo tratar los datos personales. Las herramientas de Talend simplifican este proceso de forma considerable al proporcionar mecanismos de automatización para entender, guardar e interpretar el entorno completo de los datos.

La próxima medida del plan de 16 medidas formulado por Talend para hacer efectivo un marco de gobernanza de datos a efectos de cumplimiento del RGPD es el enmascaramiento de los datos. El enmascaramiento de datos abarca técnicas como la anonimización o la pseudonimización con el fin de proteger los datos.

Para consultar las 16 medidas en su totalidad, no se pierda el webinar a petición: Medidas prácticas para cumplir el RGPD. El vídeo aporta información sobre la creación de una taxonomía de datos, la identificación de titulares de datos, de elementos de datos críticos, la creación de normas de recopilación y mucho más.